在2021年6月P-B峰會期間,的“睡王”表示,關鍵基礎設施應該是網路攻擊的 “禁區”,並遞交了一份在任何情況下都不應成為網路攻擊目標的16個關鍵基礎設施領域的清單。這是在SolarWinds網路攻擊事件之後發生的,SolarWinds的副總裁稱其為“你最糟糕的噩夢”。在這次攻擊之後,美國採取了嚴厲的單邊制裁--準確地說,是對俄羅斯的主權債務制裁,以及針對六家俄羅斯技術公司的制裁,因為它們支援俄羅斯情報局的網路計劃。
這次攻擊同其他許多攻擊(如NotPetya或WannaCry)暴露出當前國際法存在的問題——缺乏規範網路空間行為的有約束力的規範。因此,各國在如何應對和防止由網路引起的惡意行為方面幾乎不存在法律依據。可以發現,單邊網路制裁愈演愈烈——美國、歐盟和英國等已經推出了相關的制裁框架。2021年12月2日,澳大利亞議會通過了《2021年自主制裁修正案(馬格尼茨基式和其他專題制裁)法案》(the Autonomous Sanctions Amendment (Magnitsky-style and Other Thematic Sanctions) Bill 2021),該法案允許針對重大惡意網路活動實施制裁。
本文針對網路攻擊的發生率和嚴重性不斷增加的背景下,對單方面網路制裁的使用進行了介紹,以及國際社會為規範網路惡意行為所做的失敗努力,其合法性和潛在的規範價值。
網路攻擊的發生率和嚴重性不斷提高
2020年12月下旬,有關於SolarWinds網路攻擊事件的訊息傳來,路透社稱其為“一場巨大的網路間諜活動”。簡而言之,總部位於美國德克薩斯州的SolarWinds公司提供的網路管理軟體程式Orion被駭客攻擊,並在其常規軟體更新中安裝了惡意程式碼。然後,該公司數以千計的客戶“不假思索”地執行該更新。這次事件的受損害者包括私營公司,美國聯邦機構(包括司法部和財政部)。分析認為,該事件不僅暴露了美國主要資訊科技公司的網路安全漏洞,也暴露了某些美國政府機構的網路安全漏洞問題。駭客們能夠對他們進行長達數月的監視。本次事件所引起最大關注的是,“賦予[......]竊取資料的能力的同樣許可權,也可能允許[......]改變或破壞資料"。
據估計,這次攻擊“可能來自俄羅斯”,是由1000多名專業工程師進行的。俄羅斯方面否認相關指控。
任何網路攻擊的歸屬不僅在技術上是浩繁的,而且在政治和法律上也成問題。換言之,網路攻擊的歸因是費時費力的事情。網路安全專家Robert Knake 說道:“將網路攻擊的責任分配給一個特定的組織或國家,更像是一門藝術,而不是一門科學”。
除了SolarWinds,過去幾年發生的其他值得注意的網路攻擊,包括2017年的WannaCry和NotPetya攻擊以及2015年對烏克蘭電網的攻擊。WannaCry網路攻擊是透過使用病毒和勒索軟體進行的,它使計算機上的資料被加密,並索要贖金以恢復訪問。WannaCry成為人類歷史上已知的 首個“勒索病毒”。NotPetya攻擊與其他已知的勒索軟體攻擊不同:從烏克蘭傳播的惡意軟體,同時要求付款以恢復對使用者檔案的訪問,故意被設計成破壞IT系統而不是勒索資金”。對烏克蘭電網的攻擊是首次確認的涉及電網的攻擊。超過23萬居民受到相關攻擊的影響,這次攻擊事件使控制中心在幾個月內無法完全運作。應該指出的是,烏克蘭長期以來一直被捲入網路戰爭,一些人甚至認為該國已經成為“俄羅斯網路武器的試驗場”。
新近的網路攻擊擴充套件到與醫療健康有關的領域。COVID-19大流行催生了大量針對醫療系統、研究機構和 “網上錯誤資訊的流行”的網路攻擊。
針對惡意網路行為監管的國際努力:杯子是半空還是半滿?
儘管網路攻擊產生了有害影響並日益普遍,但與規範國家和非國家行為體與網路空間行為責任相關的國際規範並不存在。
從1999年開始,聯合國資訊和電信領域發展與國際安全問題政府專家組,以及自2018年以來,在國際安全背景下推進負責任的國家網路空間行為政府專家組(GGE),一直是各國討論資訊和通訊技術使用及全球網路規範的主要平臺。2018年,作為政府專家組成員(主要是美俄)之間揮之不去的緊張關係的象徵,在俄羅斯的倡議下成立了一個關於國際安全背景下資訊和電信領域發展的不限成員名額工作組(OEWG)。政府專家組和不限成員名額工作組的主要區別在於其組成。政府專家組允許25個聯合國成員參加,而不限成員名額工作組則由所有感興趣的聯合國成員以及政府間和非政府組織參加。截至目前,這些小組的工作並沒有產生任何有約束力的國際承諾,以規範網路空間的行為。到目前為止,政府專家組和不限成員名額工作組在2021年批准的關於推進網路空間和平與安全的報告並不具有法律拘束力。
區域間的國際組織,諸如非盟、東盟等也就相關議題開展討論,但其進展仍然相當有限。
儘管,在世貿組織的主持下,關於電子商務的諸邊貿易協定的談判重新活躍起來,但該組織是一個不太可能討論國家在網路空間行為責任的場所。世貿組織成員在這方面提交的檔案也證實了這一點(參見:E-commerce Joint Statement Initiative Negotiations Among World Trade Organization Members),這些檔案並沒有徹底解決網路安全問題。此外,多邊和雙邊貿易協定中的相關規定也是範圍狹窄當然相關內容也只具有合作性質。
“軟”法律檔案——《塔林手冊》和《塔林手冊2.0》——成為治理網路空間的國際法最權威的表述,儘管相關檔案並無法律拘束力。
單邊網路制裁:合法性和規範價值存疑
當國際合作不能紮根時,單邊主義之花就會盛開——正如我們在網路安全領域看到的那樣。單邊制裁是針對進行或協助網路攻擊或從事其他惡意網路活動的個人、法律實體、政府機構和官員的臨時性、限制性經濟措施。它們是基於一國國內法,在沒有任何區域或國際組織事先授權的情況下實施的。
2014年對索尼影視娛樂公司發動的網路攻擊,造成包括私人資料、未發行的電影被盜、電子郵件被黑,以及成千上萬的機密檔案被洩露的後果——併為美國針對曹縣的制裁鋪平了道路,(從而增加了對世界上受制裁最多的國家之一的壓力)。在接下來的幾年裡,美國擴大了其網路制裁框架,並利用它來制裁惡意行為者以及支援他們的國家。
歐盟在2019年推出了一個新的網路制裁框架,並在2020年7月宣佈了第一批網路制裁物件名單。一些非歐盟成員國表示希望與歐盟的網路制裁保持同步。英國密切關注歐盟的網路制裁,頒佈了《網路制裁條例》,該條例於英國“退歐”日起開始生效。
拋開關於單邊經濟制裁合法性在政治上的激烈爭論,接下來分析單邊網路制裁可能違反的國際法義務
現有的網路制裁針對的是政府機構和(高級別)政府官員,因此涉及到凍結政府機構資產,和對有關人士實施旅行禁令。凍結政府機構的資產,在理論上可能違反了國家豁免權的國際習慣法,當然對於這個問題是存在爭議的。特別是,國家財產是否受益於執行豁免權——而不管是否存在法院訴訟程式,這一點尚無定論。對相關人士釋出“旅行禁令”,則侵犯了國際法所保障的這些官員的豁免權,但這種豁免權的權利只保障給代表政府並因此前往其他國家的官員。
單邊網路制裁同樣與最低限度的正當程式權利存在衝突。例如,歐盟制裁制度下的目標人物被保證享有享受良好治理之權利(第41條)、有效補救與公平審判之權利(第47條),這些都是歐盟《基本權利憲章》中所規定的。在質疑歐盟所採取的經濟制裁中,這些權利被廣泛的援引。除了正當程式權利,質疑單邊網路制裁合法性的其他理由還包括——財產權、家庭和私人生活權以及禁止對榮譽和名譽的攻擊,這些權利都是各種國際R權條約以及國內法所保障的。
在此背景下,各國可能會提出將網路制裁作為反制措施是合理的論點。事實上,如果滿足某些前提條件,國家是可以實施反制的。
首先,也是最重要的是,應該存在一個先前違反國際法的行為(a previous violation of international law),繼而透過反制措施加以補救。其次,這種行為應歸咎於一個國家(such violation should be attributed to a state)。第三,反制措施不應對基本R權保護義務帶來負面影響(should not affect obligations for the protection of fundamental human rights)。此外,相應措施應該是相稱的(proportional)、臨時的(temporary)並且只有在滿足了程式上的先決條件(procedural prerequisites were fulfilled)後才能採取。
將網路制裁作為反制措施的可能性主要有兩方面的阻礙(這些阻礙是顯而易見的):相關義務(規制惡意網路攻擊行為)缺乏國際法依據,以及根據國家責任規則將網路攻擊歸責於某一國家。
單邊網路制裁也可能違反經濟性質的雙邊協議和WTO承諾。透過實施單方面的網路制裁,要麼像美國的網路制裁那樣對被制裁者進行完全的經濟抵制,要麼像歐盟的規定那樣禁止向被制裁的個人和實體提供資金和經濟資源,各國的行為公然違背了他們所宣稱的WTO承諾。這種行動是否可以根據雙邊協議中的國家安全例外條款或世貿組織國家安全條款來證明是合理的,這是值得商榷的。此外,網路制裁,如凍結資產、財產和財產利益,可能會導致間接徵用的法律主張,違反國際投資協定中的公平和公正待遇及其他待遇標準。
單邊網路制裁亦可能與雙邊經貿協定、WTO承諾相違背。透過實施單邊的網路制裁,要麼像美國的網路制裁那樣對被制裁者進行完全的經濟抵制,要麼像歐盟的規定那樣禁止向被制裁的個人和實體提供資金和經濟資源,各國的行為公然違背了他們所信奉的WTO義務。這種行動是否可以根據雙邊協議中的國家安全例外條款或世貿組織國家安全條款來證明是合理的,這是值得商榷的。此外,網路制裁,如凍結資產、財產和財產利益,會產生間接徵用的效果,違反國際投資協定中的公平和公正待遇及其他待遇標準。
就網路制裁的規範價值而言,它們可以表明網路空間中不可接受的行為的 “紅線”,並以這種方式促進制定網路空間中負責任行為的規則。
鑑於人類生活各方面的數字化程度不斷提高,網路攻擊的數量也在穩步增加。可預見的是未來各國將越來越多地依靠單邊制裁來阻止網路攻擊和懲罰其“肇事者”。在這種情況下,值得我們思考的是,當社會面臨迫在眉睫的威脅和缺乏有效的國際合作時,多邊主義還能發揮什麼作用,在這種情況下是否應該更公開地討論和探討單邊主義?